Google tarafından Zeroday zafiyetleri bulmak için görevlendirilen Google Project Zero ekibinden bir araştırmacı tarafından ortaya çıkarılan ve Linux’un 3.16 ve 4.18.8 kernel versiyonlarını kapsayan yüksek derecede kritik açıklık CVE-2018-17182 koduyla kaydedildi.
Linux bellek yönetim alt sistemindeki bir cache invalidation hatasından kaynaklanan zafiyetle ilgili POC istismar kodu da yayınlanmış durumda. Bellek yönetim sistemindeki bu hata use-after-free açıklığına yol açmakta ve istismarı durumunda hedef sistemde root kullanıcı iznine yükselmeye imkân sağlamaktadır. Use-after-free (UAF), düşük izne sahip kullanıcılar tarafından bellekteki veriyi bozmak ya da değiştirmek yoluyla DoS veya admin yetkisine hak yükseltme gibi istismarlara yol açabilen programın çalışmamasına, beklenmedik değerleri kullanmasına ya da kod çalıştırmasına neden olabilen bir açıklık olup bellek alanı boşa çıkmasından sonra kullanılması olarak açıklanmaktadır.
Linux kernel geliştiricilere 12 Eylül tarihinde bildirilen açıklık Linux ekibi tarafından upstream kernel için iki gün içerisinde düzeltildi. 18 Eylül’de openwall.com sitesinin oss-security mailing list sayfasında açıklanan zafiyet için ertesi gün 4.18.9, 4.14.71, 4.9.128 ve 4.4.157 upstream stabil kernel sürümlerinde aynı şekilde 3.16.58 versiyonu için de bir yama yayınlandı. Ancak upstream kernel sürümler için yayınlanan düzeltmenin normal kullanıcıları kapsamaması ve açıklığın duyurulmasından sonra güncellemelerin bir hafta gecikmesi Debian ve Ubuntu distrolarını kullananları olası saldırılara maruz bıraktığı bildirildi. Güncellemelerin normal kullanıcıya birkaç hafta daha geç ulaşmasına Android’in güncellemeleri ayda bir yayınlaması neden oluyor.
Çarşamba günü itibariyle stabil Debian ve Ubuntu 16.04 ve 18.04 sürümleri için henüz güncelleme yayınlanmadığı bildirildi. Ancak Fedora Project’in 22 Eylül’de kullanıcılarına bir güvenlik yaması yayınladı. Ubuntu için de 1 Ekim’de yama yayınlanacağı duyuruldu. 26 Eylül tarihi itibariyle Debian stabil 4.9 kernel sürümünün en son 21 Ağustos güncellemesine sahip olduğu, Ubuntu 16.04 ise en son 27 Ağustos’ta güncellendiği bildirildi.
Kaynak: https://thehackernews.com/2018/09/linux-kernel-exploit.html